Wslinkマルウェア
これまで知られていなかったローダーマルウェアが研究者によって検出されました。彼らの調査結果によると、Wslinkマルウェアという名前の脅威は、確立されたサイバー犯罪グループのいずれとも関係がありません。実際、コード、機能、または運用特性に意味のある重複はありませんでした。これまでのところ、脅威は限られた数の攻撃で展開されており、被害者は中央ヨーロッパ、北アメリカ、中東にいます。
Wslinkの詳細
全体として、ローダーは過度に複雑でも洗練されていません。しかし、サーバーとして機能するというかなりユニークな機能を備えています。侵害されたシステム上でサービスとして実行され、指定されたポート上のすべてのネットワークインターフェイスでリッスンします継続的に。マルウェアは接続を確立し、堅牢な暗号化システムを使用して交換されたデータを保護します。
Wslinkは、次の段階で破損したモジュールを受け取り、それをメモリに実行します。着信モジュールは、通信、キー、ソケットを担当する機能など、ローダーにすでに存在する機能の多くを再利用します。この手法により、脅威となるインプラントは、新しいアウトバウンド接続を確立する必要がなくなります。
結論
比較的単純であるにもかかわらず、Wslink Malwareは、作成された有害なタスクを実行できる効果的なローダーです。現在知られているAPT(Advanced Persistent Threat)グループの脅威とマルウェアツールの間に類似性がないことは、まだ未知の脅威アクターの存在を示している可能性があります。
